面向移动应用软件信息泄露的模型检测研究

作     者：过辰楷 许静 司冠南 李恩鹏 徐思涵 GUO Chen-Kai;XU Jing;SI Guan-Nan;LI En-Peng;XU Si-Han

作者机构：南开大学计算机与控制工程学院天津300350 山东交通学院信息科学与电气工程学院济南250357 

基　　金：国家自然科学基金(61402264) 天津市科学技术委员会项目(12JCZDJC20800) 国家科技支撑计划(2013BAH01B05)资助 

出 版 物：《计算机学报》 (Chinese Journal of Computers)

年 卷 期：2016年第39卷第11期

页      码：2324-2343页

摘      要：移动平台上的应用软件私密信息泄露漏洞关注违背用户意愿的接口或数据暴露,而泄露形式和内容的复杂性增添了该类漏洞的检测难度.现有方法主要利用传统的静态数据流分析及动态监控等技术,易发生漏报和误报,且无法处理隐式信息泄露问题.该文首次将基于线性时序逻辑(Linear Temporal Logic,LTL)的模型检测技术应用于移动软件信息泄露检测上,提出了一种基于安全要素语句插装的泄露检测方法.文章首先针对代码中的安全要素提出一种信息泄露抽象关系模型;其次设计驱动生成规则和插装算法,在目标应用上生成可规约系统;继而设计具有通用意义的LTL泄露检测属性并利用符号执行技术优化检测算法;最后构建支持移动平台的模拟方法库,开发了原型检测系统(Leakage Finder of Android,LFDroid).公开数据集实验及对比分析表明,该文方法可以为含有隐式信息泄露数据集提供更为精确的漏洞检测,相较于传统方法准确率和召回率均具有明显优势,除此之外亦发现了3个真实移动应用的5个隐式泄露漏洞威胁.

主 题 词：模型检测 移动应用软件 信息泄露 线性时序逻辑 漏洞检测 

学科分类：08[工学] 0835[0835] 081202[081202] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11897/sp.j.1016.2016.02324

馆 藏 号：203208470...